一、背景
近日騰訊御見威脅情報中心監控發現，一款名為“流量寶流量版”的軟件，在運行時會自動請求帶有CVE-2018-8174漏洞（瀏覽器高危漏洞）的URL，URL在軟件的內置IE瀏覽器中觸發CVE-2018-8174漏洞并執行shellcode，然后下載天罰DDoS木馬、遠程控制木馬，控制電腦成為肉雞。該漏洞攻擊URL日累計訪問次數最高達30多萬次。
據了解，流量寶軟件為網站流量刷量（作弊）工具，多用于自媒體文章閱讀量及網店流量刷量。由于相關內容運營者有較強烈的刷量需求，致使流量寶工具使用量較高，當這款刷量工具開始內置漏洞攻擊病毒傳播時，中毒電腦數量在很短時間內就高居病毒排行榜前列。

此次染毒的流量寶刷量工具來自多個軟件下載站，這些網站均做過搜索優化，當用戶搜索“流量寶”時，將出現在搜索結果的前列。
當流量寶內置的漏洞攻擊被觸發時，中毒電腦將會下載多個惡意病毒文件，包括：DDoS攻擊工具、遠程控制木馬，以及門羅幣挖礦病毒。病毒傳播者會充分利用肉雞電腦資源，隨時可以對其他目標發起網絡攻擊，攻擊內部局域網其他電腦，竊取肉雞電腦機密文件，以及利用肉雞電腦挖礦賺錢。
攻擊流程：

二、詳細分析
2.1 傳播渠道
騰訊御見威脅情報中心監測發現，用于刷網站流量的 “流量寶流量版.exe”、“流量寶掛機版.exe”、“ggtbviewer”(旺寶)、“天天掛機1.1.50.exe”等軟件請求帶有漏洞的惡意html文件（hxxp://111.73.46.110:2233/3.html）并觸發CVE-2018-8174漏洞。
這些惡意軟件在運行時不會立即請求漏洞URL，而是在運行3個多小時之后，才接受云控指令開始訪問漏洞攻擊URL。
軟件開始運行后的流量數據，在第1097159條包數據開始出現漏洞URL的請求，此時距離軟件開始運行已有3個多小時。

hxxp://111.73.46.110:2233/3.html的請求

漏洞URL及木馬下載地址

2.2 漏洞利用
111.73.46.110:2233/3.html是攻擊者根據CVE-2018-8174漏洞構造的利用代碼

漏洞觸發后執行111.73.46.110:2233/wm.hta

wm.hta通過powershell下載debug.exe

2.3 debug.exe分析
首先提高進程權限，然后從111.73.46.110下載1.exe、2.exe，sleep等待一段時間，然后執行下載的1.exe，2.exe。

2.4 1.exe分析
樣本使用UPX殼，脫殼后是“天罰DDoS”木馬，從木馬樣本的字符信息可以看出該樣本為8.0版本

拷貝自身到C:\Windows\xehbug.exe

創建服務并啟動

根據控制端返回的命令進行DDoS攻擊或下載其他木馬并執行
DDoS攻擊代碼

2.5 2.exe分析
樣本同樣使用UPX殼，脫殼后是遠程控制木馬
木馬拷貝自身到C:\Windows\WinQutoUpdate.com并創建為服務

通過創建VBS文件將原文件2.exe刪除

木馬等待服務端命令

根據服務端返回的指令，執行安裝插件、設置代理、提高權限、讀取日志、重寫注冊表等操作。

三、關聯分析
跟蹤分析發現，此次攻擊使用的C2地址還在不斷更新中，截止2018.6.21已經發現5個地址。通過這些C2地址下面傳播的的木馬略有不同，但主要類型為DDoS木馬，挖礦木馬以及后門木馬。
3.1 C2地址：111.73.46.87
 “流量寶流量版.exe”軟件同時使用另外一個C2地址111.73.46.87進行木馬傳播。

hxxp://111.73.46.87:1986/4.html是經過混淆的CVE-2018-8174漏洞利用代碼

漏洞利用成功后執行hxxp://111.73.46.87:1986/wm.hta傳播木馬exe文件。hxxp://111.73.46.87:1986/2.exe是“鬼影DDoS”木馬。木馬啟動后將自身創建為服務實現自啟動，然后通過弱口令字典嘗試訪問內網IPC$共享進行感染，然后等待服務端命令進行DDoS攻擊或CC攻擊。

3.2 C2地址：www.wulei168.pw
通過關聯分析發現，另一款刷流量軟件流量精靈（ipjingling.exe）通過請求hxxp://www.wulei168.pw:1235/3.html（現已失效）發起過類似攻擊，該URL訪問時同樣觸發CVE-2018-8174漏洞，然后執行8174.hta通過powershell下載sql.exe，sql.exe下載挖礦木馬ut.exe進行門羅幣挖礦。

（3.html目前已被去除）

（8174.hta下載sql.exe）

（sql.exe下載ut.exe）

（ut.exe安裝門羅幣挖礦木馬conhost.exe）

（conhost.exe挖礦代碼）
礦池地址：miner.free.xmrig.com
錢包：
48edfHu7V9Z84YzzMa6fUueoELZ9ZRXq9VetWzYGzKt52XU5xvqgzYnDK9URnRoJMk1j8nLwEVsaSWJ4fhdUyZijBGUicoD 
錢包信息：

四、安全建議
不使用來歷不明的軟件。
及時升級系統補丁，避免遭受漏洞攻擊。
安裝騰訊電腦管家攔截危險程序下載。
開網店或自媒體作者如果使用過流量寶工具，建議使用騰訊電腦管家查殺。
IOCs
域名：
www.wulei168.pw